帮忙分析一下哈~这个有木有毒的？

显示全部楼层 · 发表于 2012-3-31 13:29:49

郑伟用户发表于 2012-3-31 13:25
应该没问题吧

哦。好的。
谢谢啊。

显示全部楼层 · 发表于 2012-3-31 13:32:53

本帖最后由 yhjtj 于 2012-3-31 13:35 编辑

模块 C:\Users\xxxx\Desktop\样本\抽奖挂9.vmp\抽奖挂9.vmp.exe
在进程抽奖挂9.vmp.exe (pid=1172)
试图获取可写入磁盘底层的权限
类型: 38
高级信息: 15,0,4
允许这个可疑的动作吗?

组件抽奖挂9.vmp.exe (pid=1172)
正试图通过DNS解析服务访问网络
行为类型代码: 50
技术信息: 30,0,0
注意：如果您信任这个组件，可以允许这个行为
是否允许这个危险行为?

组件抽奖挂9.vmp.exe (pid=1172)
正试图建立一个传出的网络连接(TCP)
远程地址=x5ds.net(218.95.37.232) 远程端口=80
行为类型代码: 48
技术信息: 28,6,0
是否允许这个危险行为?
IP地址: 218.95.37.232
来自: 江西省电信

弹出用户不存在，然后就是郑伟用户的那个图了

显示全部楼层 · 发表于 2012-3-31 13:34:05

忘了，还有个注入
2012/3/31 13:31:09,C:\Users\xxxx\Desktop\样本\抽奖挂9.vmp\抽奖挂9.vmp.exe,36,Blocked ;注入DLL (<pid=5616>)

显示全部楼层 · 发表于 2012-3-31 13:35:03

底层磁盘很危险，一般不会用到，还有主要看联网的那个地址了，如果是非官方的地址，还是不要用了

显示全部楼层 · 发表于 2012-3-31 13:39:40

完整路径: c:\users\ww\desktop\抽奖挂9.vmp.exe
威胁: WS.Reputation.1
____________________________
____________________________
在电脑上的创建时间不可用
上次使用时间 2012/3/31 ( 13:39:04 )
启动项目否
已启动否
____________________________
____________________________
未知
诺顿社区中使用此文件的用户数量: 未知
____________________________
未知
此文件版本当前未知。
____________________________
中
此文件具有中等程度风险。
____________________________
威胁详细信息
威胁类型: 智能网络威胁。很多迹象表明此文件不可信任，不安全
____________________________
http://t1.good.gd/?FileId=1998282&on=

显示全部楼层 · 发表于 2012-4-2 21:50:01

Dear Sir/Madam,

Thank you for your email.

We would like to inform you that the file attached to your previous e-mail was infected. Detection of the infection will be available with one of the upcoming AVG virus definitions updates. AVG updates are released in reaction to the amount and severity of new threats. We recommend checking for new updates at least once a day. Checking every 4 hours will guarantee that your AVG Virus Database is kept up-to-date.

Thank you for your cooperation.

Best regards,

Marivie Reyes
AVG Customer Services
http://www.avg.com

显示全部楼层 · 发表于 2012-4-2 22:14:22

File ID    Filename    Size (Byte) Result
26739633    抽奖挂9.vmp.rar 1.63 MB OK
A listing of files contained inside archives alongside their results can be found below:
File ID    Filename    Size (Byte) Result
26739634         1.67 MB    UNDER ANALYSIS

显示全部楼层 · 发表于 2012-4-2 23:47:50

2012/4/2 23:45:41 c:\windows\explorer.exe 创建新进程 c:\users\xxxxx\desktop\抽奖挂9.vmp.exe 允许 [应用程序]c:\windows\explorer.exe 命令行: "C:\Users\xxxxx\Desktop\抽奖挂9.vmp.exe"
2012/4/2 23:45:51 c:\users\xxxxx\desktop\抽奖挂9.vmp.exe 修改文件 (2) \Device\NamedPipe\lsarpc 阻止 [应用程序组]『询问』病毒测试 -> [文件]*
2012/4/2 23:45:53 c:\users\xxxxx\desktop\抽奖挂9.vmp.exe 修改注册表值 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\MigrateProxy 阻止 [应用程序组]『询问』病毒测试 -> [注册表]* 值: 0x00000001(1)
2012/4/2 23:45:54 c:\users\xxxxx\desktop\抽奖挂9.vmp.exe 修改注册表值 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyEnable 阻止 [应用程序组]『询问』病毒测试 -> [注册表]* 值: 0x00000000(0)
2012/4/2 23:45:55 c:\users\xxxxx\desktop\抽奖挂9.vmp.exe 删除注册表值 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer 阻止 [应用程序组]『询问』病毒测试 -> [注册表]*
2012/4/2 23:45:56 c:\users\xxxxx\desktop\抽奖挂9.vmp.exe 删除注册表值 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyOverride 阻止 [应用程序组]『询问』病毒测试 -> [注册表]*
2012/4/2 23:45:57 c:\users\xxxxx\desktop\抽奖挂9.vmp.exe 删除注册表值 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\AutoConfigURL 阻止 [应用程序组]『询问』病毒测试 -> [注册表]*
2012/4/2 23:45:58 c:\users\xxxxx\desktop\抽奖挂9.vmp.exe 修改注册表值 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Hardware Profiles\0001\Software\Microsoft\windows\CurrentVersion\Internet Settings\ProxyEnable 阻止 [应用程序组]『询问』病毒测试 -> [注册表]* 值: 0x00000000(0)
2012/4/2 23:46:00 c:\users\xxxxx\desktop\抽奖挂9.vmp.exe 修改注册表值 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\SavedLegacySettings 阻止 [应用程序组]『询问』病毒测试 -> [注册表]* 值: 46 00 00 00 62 ac 00 00 01 00 00 00 00 00 00 00 00 00 00 00 87 00 00 00 66 69 6c 65 3a 2f 2f 43 3a 2f 55 73 65 72 73 2f 6c 66 2f 41 70 70 44 61 74 61 2f 4c 6f 63 61 6c 2f 43 68 72 6f 6d 69 75 6d 2f 55 73 65 72 25 32 30 44 61 74 61 2f 44 65 66 61 75 6c 74 2f 45 78 74 65 6e 73 69 6f 6e 73 2f 62 67 66 6b 68 6a 6d 63 6e 6b 6d 65 67 64 6d 61 67 62 6f 61 63 6b 67 69 70 62 64 70 6f 6d 6b 65 2f 53 77 69 74 63 68 79 41 75 74 6f 2e 70 61 63 3f 31 33 31 38 33 31 30 36 36 38 36 39 35 00 00 00 00 00 00 00 00 50 73 3d 01 d5 87 cc 01 00 00 00 00 00 00 00 00 00 00 00 00 04 00 00 00 17 00 00 00 00 00 00 00 fe 80 00 00 00 00 00 00 80 fe b7 6a 8b 0a 10 79 0a 00 00 00 00 00 00 00 17 00 00 00 00 00 00 00 20 01 00 00 41 37 9e 76 08 38 31 06 3f 57 fe 9b 00 00 00 00 00 00 00 00 1c 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 17 00 00 00 00 00 00 00 fe 80 00 00 00 00 00 00 80 fe b7 6a 8b 0a 10 79 0a 00 00 00 00 00 00 00 17 00 00 00 00 00 00 00 fe 80 00 00 00 00 00 00 24 cb 13 10 3f
2012/4/2 23:46:03 c:\users\xxxxx\desktop\抽奖挂9.vmp.exe 修改文件 (2) \Device\NamedPipe\lsarpc 阻止 [应用程序组]『询问』病毒测试 -> [文件]*
2012/4/2 23:46:04 c:\users\xxxxx\desktop\抽奖挂9.vmp.exe 删除注册表值 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProxyBypass 阻止 [应用程序组]『询问』病毒测试 -> [注册表]*
2012/4/2 23:46:05 c:\users\xxxxx\desktop\抽奖挂9.vmp.exe 删除注册表值 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\IntranetName 阻止 [应用程序组]『询问』病毒测试 -> [注册表]*
2012/4/2 23:46:06 c:\users\xxxxx\desktop\抽奖挂9.vmp.exe 修改注册表值 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\UNCAsIntranet 阻止 [应用程序组]『询问』病毒测试 -> [注册表]* 值: 0x00000000(0)
2012/4/2 23:46:07 c:\users\xxxxx\desktop\抽奖挂9.vmp.exe 修改注册表值 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\AutoDetect 阻止 [应用程序组]『询问』病毒测试 -> [注册表]* 值: 0x00000001(1)
2012/4/2 23:46:08 c:\users\xxxxx\desktop\抽奖挂9.vmp.exe 删除注册表值 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProxyBypass 阻止 [应用程序组]『询问』病毒测试 -> [注册表]*
2012/4/2 23:46:09 c:\users\xxxxx\desktop\抽奖挂9.vmp.exe 删除注册表值 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\IntranetName 阻止 [应用程序组]『询问』病毒测试 -> [注册表]*
2012/4/2 23:46:11 c:\users\xxxxx\desktop\抽奖挂9.vmp.exe 修改注册表值 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\UNCAsIntranet 阻止 [应用程序组]『询问』病毒测试 -> [注册表]* 值: 0x00000000(0)
2012/4/2 23:46:11 c:\users\xxxxx\desktop\抽奖挂9.vmp.exe 修改注册表值 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\AutoDetect 阻止 [应用程序组]『询问』病毒测试 -> [注册表]* 值: 0x00000001(1)
2012/4/2 23:46:16 c:\users\xxxxx\desktop\抽奖挂9.vmp.exe 访问网络 TCP [本机 : 49658] -> [218.95.37.232 : 80 (http)] 阻止 [应用程序组]『询问』病毒测试 -> [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]
2012/4/2 23:46:21 c:\users\xxxxx\desktop\抽奖挂9.vmp.exe 创建文件 C:\errorserverip.txt 阻止 [应用程序组]『询问』病毒测试 -> [文件组]保护根目录
2012/4/2 23:46:22 c:\users\xxxxx\desktop\抽奖挂9.vmp.exe 访问网络 TCP [本机 : 49659] -> [125.211.213.123 : 80 (http)] 阻止 [应用程序组]『询问』病毒测试 -> [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]
2012/4/2 23:46:23 c:\users\xxxxx\desktop\抽奖挂9.vmp.exe 创建文件 C:\errorserverip.txt 阻止 [应用程序组]『询问』病毒测试 -> [文件组]保护根目录
2012/4/2 23:46:25 c:\users\xxxxx\desktop\抽奖挂9.vmp.exe 修改注册表值 (2) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\4080110900063D11C8EF10054038389C\Usage\HandWritingFiles 阻止 [应用程序组]『询问』病毒测试 -> [注册表]* 值: 0x4082ffff(1082327039)

[可疑文件] 帮忙分析一下哈~这个有木有毒的？